主要观点总结
谷歌表示,过去六年来其在内存安全软件方面的努力已大幅减少安卓操作系统中的内存安全漏洞数量。内存安全漏洞比例从2019年的76%下降到预计的2024年底的24%。这归功于采用安全编码(Safe Coding)和内存安全编程语言如Rust。谷歌推荐使用Rust进行开发以提高工作效率并减少内存安全漏洞的发生。对于拥有大量不安全遗留代码的企业,通过使旧代码与内存安全代码实现互操作,以及使用内存安全语言编写新代码,现有漏洞的自然衰减率有助于使大型代码库变得更加安全。作者Thomas Claburn是The Register网络杂志的资深记者。
关键观点总结
关键观点1: 谷歌通过优先关注内存安全软件开发,显著减少了安卓操作系统中的内存安全漏洞数量。
安卓操作系统的内存安全漏洞比例已从2019年的76%下降到预计的2024年底的24%,这一改进归因于安全编码和内存安全编程语言的采用。
关键观点2: 安全编码实践对减少内存安全漏洞至关重要。
安全编码是一套软件开发实践,通过内存安全编程语言、静态分析和API设计来避免引入漏洞。谷歌推荐使用Rust进行开发,以提高工作效率并减少内存安全漏洞的发生。
关键观点3: 对于拥有大量不安全遗留代码的企业,有一些建议来提高安全性。
通过使旧代码与内存安全代码实现互操作,以及使用内存安全语言编写新代码,现有漏洞的自然衰减率有助于使大型代码库随着时间的推移变得更加安全。作者强调,尽管这些努力,旧漏洞仍然存在,但如果在制造新的内存安全漏洞方面采取预防措施,旧漏洞可能不会成为主要问题。
文章预览
作者 | Thomas Claburn
译者 | Sambodhi
策划 | Tina 谷歌表示,过去六年来,其优先考虑内存安全软件开发的努力已大幅减少安卓操作系统中的内存安全漏洞数量。 在最近发布的 报告 中,谷歌透露,因内存安全问题导致的安卓漏洞比例已从 2019 年的 76% 下降至预计 2024 年底的 24%,这显著低于行业标准的 70%。 这是安卓代码风险状况的显著改善,安卓安全团队成员 Jeff Vander Stoep 和谷歌高级软件工程师 Alex Rebert 将此归功于采用了 安全编码(Safe Coding)。这是一套软件开发实践,旨在通过内存安全编程语言(包括 Rust)、静态分析和 API 设计来避免引入漏洞。 据安卓团队观察,Rust 变更的回滚率不到 C++ 的一半。 Vander Stoep 和 Rebert 说:“前几代人向安全编码所做的转变可以通过开发代码时所做断言的可量化性来体现。” “安全编码使我们能够对代码的属
………………………………
